È possibile creare gruppi Antrea solo quando in NSX sono registrati uno o più cluster di container Antrea .

Se vengono rilevati cluster di container Antrea registrati, nella pagina Aggiungi gruppo dell'interfaccia utente di NSX Manager viene visualizzato un tipo di gruppo separato denominato Antrea. Per aggiungere gruppi Antrea, è necessario selezionare questo tipo di gruppo.

Un gruppo Antrea può includere indirizzi IP statici, criteri di appartenenza o entrambi. Gli indirizzi IP possono essere indirizzi IP di pod o servizi.

Quando un gruppo Antrea contiene criteri di appartenenza, i membri effettivi elaborati in base a tali criteri di appartenenza possono essere solo pod.

Nota:
  • I membri effettivi vengono elaborati per i gruppi Antrea solo quando i gruppi Antrea vengono utilizzati nelle regole del firewall distribuito.

    Quando si aggiungono gruppi Antrea con criteri di appartenenza, ma questi gruppi non vengono utilizzati in alcuna regola del firewall distribuito, i membri effettivi di questi gruppi Antrea non vengono elaborati o valutati in NSX. In altre parole, la pagina Membri effettivi di questi gruppi Antrea è vuota.

  • Quando si aggiungono indirizzi IP statici nei gruppi Antrea, i membri effettivi non vengono al momento visualizzati nell'interfaccia utente, indipendentemente dal fatto che i gruppi vengano utilizzati nelle regole del firewall distribuito.
Per aggiungere criteri di appartenenza in un gruppo Antrea, al momento sono supportati i seguenti oggetti del cluster di container (tipi di membri):
  • Spazio dei nomi
  • Servizio
  • Pod

Panoramica dei criteri di appartenenza

È possibile aggiungere gruppi Antrea con uno o più criteri di appartenenza. Un criterio di appartenenza include una o più condizioni. Una condizione in un criterio di appartenenza include le seguenti proprietà:
  • Oggetto cluster di container (chiamato anche tipo di membro)
  • Nome dell'oggetto cluster di container o un tag collegato all'oggetto container
  • Operatore e valore del tag (solo quando viene utilizzato un tag)
  • Operatore e valore dell'ambito (solo quando viene utilizzato un tag)
Le condizioni di un criterio di appartenenza possono utilizzare lo stesso oggetto cluster di container o una combinazione di oggetti cluster di container diversi. Ad esempio, se il criterio di appartenenza è costituito da tre condizioni, le prime due condizioni possono utilizzare l'oggetto Pod, mentre la terza condizione può utilizzare l'oggetto Spazio dei nomi. L'aggiunta di più condizioni in un criterio di appartenenza ha tuttavia alcune limitazioni. Vedere la sezione "Funzionalità supportate e funzionalità non supportate" più avanti in questo argomento.

Per impostazione predefinita, NSX utilizza l'operatore logico AND dopo ogni condizione di un criterio di appartenenza. Gli altri operatori logici non sono supportati per l'unione di condizioni in un criterio di appartenenza.

Esempi:
Criteri di appartenenza Descrizione

Criterio 1:

Tag Pod uguale a App Ambito uguale a Server

Il criterio di appartenenza consiste solo in una singola condizione basata sull'oggetto Pod. Non vengono utilizzate più condizioni. I membri effettivi di questo gruppo Antrea includono tutti gli oggetti Pod con il tag App.

Criterio 2:

Tag Pod uguale a App Ambito uguale a Server

Tag Pod uguale a DB Ambito uguale a Server

Tag Pod uguale a Web Ambito uguale a Server

Il criterio di appartenenza consiste di tre condizioni. Tutte le condizioni nel criterio si basano sull'oggetto Pod. I membri effettivi di questo gruppo Antrea includono tutti gli oggetti Pod con i tag App, DB e Web.

Criterio 3:

Nome Spazio dei nomi uguale a Produzione

Nome Servizio uguale a Cache

Il criterio di appartenenza include due condizioni con una combinazione di oggetti Spazio dei nomi e Servizio. I membri effettivi di questo gruppo Antrea includono tutti gli oggetti Pod associati al servizio denominato Cache nello spazio dei nomi Produzione.

Unione dei criteri di appartenenza con gli operatori OR e AND

Un gruppo Antrea supporta più criteri di appartenenza. Per unire i criteri, sono disponibili gli operatori OR e AND. Per impostazione predefinita, NSX seleziona l'operatore OR per unire più criteri. L'operatore AND è supportato tra due criteri solo quando:
  • Entrambi i criteri utilizzano lo stesso oggetto cluster di container.
  • Entrambi i criteri utilizzano una singola condizione.
Esempi:
  • Il criterio 1, il criterio 2 e il criterio 3 sono tutti basati sull'oggetto Pod e non contengono più condizioni. In questo caso, il criterio 1 e il criterio 2 possono essere uniti con l'operatore OR o l'operatore AND. Analogamente, anche il criterio 2 e il criterio 3 possono essere uniti con l'operatore OR o l'operatore AND.
  • Il criterio 1 si basa sull'oggetto Pod, mentre il criterio 2 utilizza due condizioni, una con l'oggetto Servizio e l'altra con l'oggetto Spazio dei nomi. In questo caso, per unire il criterio 1 e il criterio 2 è possibile utilizzare solo l'operatore OR. L'operatore AND non è consentito.
  • Il criterio 1 e il criterio 2 si basano sull'oggetto Pod, mentre il criterio 3 utilizza due condizioni, una con l'oggetto Servizio e l'altra con l'oggetto Spazio dei nomi. In questo caso, il criterio 1 e il criterio 2 possono essere uniti con l'operatore AND o l'operatore OR. Tuttavia, il criterio 2 e il criterio 3 possono essere uniti solo con l'operatore OR. L'operatore AND non è consentito.

Funzionalità supportate e funzionalità non supportate

Nella tabella seguente sono elencati gli oggetti cluster di container, l'operatore del tag e l'operatore dell'ambito supportati per l'aggiunta di criteri di appartenenza nei gruppi Antrea.
Oggetto cluster di container Attributo oggetto Operatore tag Operatore ambito Criteri di esempio

Spazio dei nomi

Nome

Uguale a

Non applicabile

Nome Spazio dei nomi uguale a Produzione

Spazio dei nomi

Tag

Uguale a

Non è uguale a

Uguale a

Tag Spazio dei nomi uguale a DB Ambito uguale a Server

Servizio

Nome

Non supportato

Non supportato

Nome Servizio uguale a Cache

Pod

Tag

Uguale a

Non è uguale a

Uguale a

Tag Pod uguale a App Ambito uguale a Server
  • I seguenti operatori del tag non sono al momento supportati per gli oggetti Spazio dei nomi e Pod:
    • Contiene
    • Inizia con
    • Termina con
  • In un criterio di appartenenza, una condizione basata sull'oggetto Servizio deve essere combinata con una condizione basata sull'attributo Nome dell'oggetto Spazio dei nomi. In altre parole, un criterio con il solo oggetto Servizio non è consentito.
    Esempio:
    Supportato Non supportato

    Criterio:

    Nome Servizio uguale a Servizio personale

    Nome Spazio dei nomi uguale a Staging

    Criterio:

    Nome Servizio uguale a Servizio personale

  • In un criterio di appartenenza, una condizione basata sull'oggetto Servizio non può essere combinata con una condizione basata sull'oggetto Pod. È tuttavia possibile aggiungere gli oggetti Servizio e Pod in due criteri di appartenenza separati e unirli con l'operatore OR.
    Esempio:
    Supportato Non supportato

    Criterio 1: Nome Servizio uguale a Servizio personale

    OR

    Criterio 2: Tag Pod uguale a DB Ambito uguale a Server

    Criterio:

    Nome Servizio uguale a Servizio personale

    Tag Pod uguale a DB Ambito uguale a Server
  • Per l'aggiunta di membri statici in un gruppo Antrea, sono supportati solo gli indirizzi IP. Gli oggetti cluster di container non possono essere aggiunti come membri statici in un gruppo Antrea.
  • Quando si aggiunge un gruppo Antrea, in NSX viene visualizzato un messaggio informativo se si tenta di modificare il tipo di gruppo da Antrea a Generico o da Antrea a Solo indirizzi IP. Alla conferma della modifica, tutti i criteri di appartenenza nel gruppo vengono persi. Nel gruppo vengono conservati solo gli indirizzi IP.

    Dopo che un gruppo Antrea è stato realizzato (salvato) in NSX, non è possibile modificare il tipo di gruppo. I tipi di gruppo Generico e Solo indirizzi IP sono disattivati.

Soluzione per versione Kubernetes ≤ 1.20

Il criterio del gruppo Antrea "Nome spazio dei nomi uguale a Valore" funziona con versione Kubernetes ≤ 1.21.

Kubernetes 1.21 o versione successiva aggiunge automaticamente un'etichetta speciale a tutti gli spazi dei nomi e il criterio "Nome spazio dei nomi uguale a Valore" utilizza internamente questa etichetta speciale. Tuttavia, per versione Kubernetes ≤ 1.20, è necessaria una soluzione. È necessario registrare il webhook Controller Antrea sugli eventi di creazione dello spazio dei nomi. Quando viene chiamato il webhook Controller Antrea, Controller Antrea aggiunge un'etichetta speciale al nuovo spazio dei nomi, quindi il criterio "Nome spazio dei nomi uguale a Valore" può utilizzare questa etichetta. Per informazioni dettagliate sulla registrazione del webhook Controller Antrea, vedere il passaggio 3 in Invio dei file YAML al server dell'API Kubernetes.

Nota: Il webhook Controller Antrea è effettivo solo per i nuovi spazi dei nomi creati dopo la registrazione del webhook. In altre parole, gli spazi dei nomi esistenti, come kube-system e default non ottengono l'etichetta speciale e il criterio "Nome spazio dei nomi uguale a Valore" non funziona con questi spazi dei nomi.